Dbaj o swoje pieniądze

Wojciech Chmielarz
21-05-2009, 00:00

Eksperci twierdzą, że polski sektor bankowy jest dobrze zabezpieczony przed cyberprzestępcami. Ostrożności jednak nigdy za dużo.

Ban ki troszczą się o bezpieczeństwo transakcji, klienci — niekoniecznie

Eksperci twierdzą, że polski sektor bankowy jest dobrze zabezpieczony przed cyberprzestępcami. Ostrożności jednak nigdy za dużo.

Phising, pharming, trojan — cyberprzestępcy znają wiele sposobów, jak dobrać się do cudzych pieniędzy na internetowych kontach.

— Początkowo większość napastników wykorzystywała to, że podejście autorów serwisów bankowych do kwestii bezpieczeństwa było słabo usystematyzowane. Wykorzystywano błędy w aplikacjach webowych, niedostatki w konfiguracji transmisji SSL, luki bezpieczeństwa w przeglądarkach internetowych, aplikacjach mobilnych i systemach operacyjnych, nieco mniej koncentrując się na samych użytkownikach serwisów. Teraz to właśnie im napastnicy przyglądają się najczęściej, choć poprzednio wymienionych zagrożeń nadal nie można lekceważyć — mówi Gerard Frankowski, kierownik zespołu bezpieczeństwa Poznańskiego Centrum Superkomputerowo-Sieciowego (PCSS).

Zagrożeniem dla użytkowników są m.in. phishing, który może doprowadzić do kradzieży danych i tożsamości oraz przejęcia sesji uwierzytelniającej połączenie. Dość nowym zagrożeniem jest pharming, odmiana phisingu, dużo jednak groźniejsza. W przypadku udanego zaatakowania serwera DNS, z którego korzysta użytkownik, nawet gdy samodzielnie wpisze on w przeglądarce internetowej poprawny adres strony internetowej, zostanie przekierowany na witrynę przygotowaną przez przestępców. Dlatego eksperci z PCSS radzą zdefiniować w przeglądarkach zakładki serwisów transakcyjnych nie przy pomocy nazwy domenowej (np. pb. pl), ale przy pomocy adresu IP (np. 193.109.123.123).

— Ataki ewoluowały od robaków przesyłających dane "do internetu" poprzez oprogramowanie adware/trojan/backdoor oraz phishing do "hitu" ostatniego sezonu — umieszczania na zaufanych stronach internetowych oprogramowania szpiegowskiego, które infekuje odwiedzających użytkowników. Tego rodzaju ataki wykorzystują fakt, że konfiguracja większości przeglądarek zezwala na stosowanie niektórych technologii internetowych i tzw. aktywnej zawartości — mówi Piotr Nogaś z firmy Symantec, firmy zajmującej się bezpieczeństwem IT.

Bezpiecznie jak w banku

Same banki dobrze zabezpieczyły serwisy transakcyjne.

— Problem zabezpieczeń newralgicznych danych oraz usług jest na tyle głośny i dobrze zrozumiany przez instytucje finansowe, że w przeważającej większości przypadków nie można mówić o występowaniu poważnych, względnie łatwych do znalezienia luk. Banki stosują zmultiplikowane zabezpieczenia, bardzo korzystne jest chociażby potwierdzanie transakcji przy pomocy SMS-a. Wtedy napastnik, aby ukraść pieniądze z konta, musi nie tylko przełamać zabezpieczenia aplikacji internetowej, ale także poradzić sobie z infrastrukturą GSM — nie jest to niemożliwe, ale bardzo podwyższa poziom trudności. Utrudnieniem dla napastnika są także mechanizmy haseł maskowanych oraz hasła jednorazowe — opowiada Gerard Frankowski.

Ma to jednak ciemną stronę. Banki się zabezpieczyły, ale użytkownicy nie zawsze.

— Banki w Polsce mają w większości dobre systemy zabezpieczeń, ale praktycznie wszystkie nie zarządzają bezpieczeństwem na całej ścieżce transakcji, pozostawiając użytkownikowi odpowiedzialność za zabezpieczenie urządzenia, z którego dokonuje się połączenia — mówi Piotr Nogaś.

Skoro najsłabszym ogniwem bankowego łańcucha jest użytkownik, jak może się on zabezpieczyć przed cyberprzestępcami? Rad jest wiele. Oto kilka najważniejszych, które pozwolą zmaksymalizować bezpieczeństwo internetowych transakcji. Przede wszystkim, jeśli użytkownik łączy się z serwisem transakcyjnym banku — to powinien to robić tylko z własnego komputera. Tylko wtedy bowiem wie, co jest na nim zainstalowane i kto z niego korzysta.

— Własny komputer również trzeba przygotować. Zarówno sam system operacyjny, jak i uruchomione na nim oprogramowanie powinno być zaktualizowane. Warto rozważyć korzystanie z przeglądarki internetowej innej niż wbudowana w popularny system operacyjny — mimo, iż poziom bezpieczeństwa przeglądarek powoli się wyrównuje, autorzy złośliwego kodu często koncentrują się na atakowaniu oprogramowania, z którego korzysta największa liczba niezorientowanych technicznie użytkowników — mówi Gerard Frankowski.

Konieczne jest również oprogramowanie antywirusowe, regularnie aktualizowane.

— Ponadto nie należy zapisywać nigdzie, chyba, że w sejfie, swojego numeru użytkownika, a już szczególnie hasła. Nie należy tego robić zwłaszcza w plikach na urządzeniach mobilnych, które łatwo zgubić lub utracić w wyniku kradzieży. Same hasła zaś powinny być odpowiednio długie i składać się ze znaków pochodzących z różnych grup: duże i małe litery, cyfry, znaki alfanumeryczne — radzi Gerard Frankowski.

Ograniczone zaufanie

Eksperci PCSS, kiedy mówią o korzystaniu z internetu, chętnie korzystają z analogii do ruchu drogowego. Nie bez przyczyny.

— Od kierowców, poza znajomością przepisów, wymaga się również stosowania "zasady ograniczonego zaufania". W bankowości elektronicznej każdy użytkownik musi podchodzić bardzo ostrożnie do wszelkiego rodzaju maili, w których "w pilnej sytuacji" prosi się o "zweryfikowanie możliwości zalogowania na konto pod podanym adresem URL, gdyż inaczej usługa może zostać zablokowana". Banki nigdy nie wysyłają takich próśb drogą mailową. Poza tym taką prośbę można zawsze zweryfikować telefonując do oddziału czy biura obsługi klienta — mówi Gerard Frankowski.

Radzi dodatkowo każdą przesłaną mailem informację z banku weryfikować na jego stronach internetowych, a nie klikać w przesłane linki.

— Pamiętajmy, że źródłowy adres e-maila jest łatwy do sfałszowania, a napastnicy potrafią tworzyć witryny WWW łudząco podobne do prawdziwej strony banku. Nie klikajmy takich linków w mailach, bezpieczniej samemu wpisać adres strony WWW banku i tam poszukać informacji o promocji — mówi.

Wirtualne klawiatury

Także banki mogą wykonać kilka posunięć, żeby jeszcze lepiej zabezpieczyć internetowe transakcje.

— Instytucje finansowe powinny stosować oprogramowanie tworzące wirtualny, bezpieczny desktop na stacji końcowej użytkownika, oraz jednorazowe tokeny generujące każdorazowo unikalne hasła. Zabezpieczenia takie sprawią, że bank będzie miał wpływ na bezpieczeństwo całej ścieżki transakcji — mówi Piotr Nogaś.

Wirtualny desktop to program na serwerach banku. Użytkownik nie wpisuje hasła na własnej klawiaturze, tylko najeżdża myszką na litery wyświetlane na ekranie komputera. Znacząco utrudnia to wyłudzenie haseł przez cyberprzestępców i zwiększa odpowiedzialność banków za całą transakcję. Koniecznością obecnie są także regularne audyty bezpieczeństwa IT w bankach.

Wojciech Chmielarz

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Wojciech Chmielarz

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Kariera / / Dbaj o swoje pieniądze